Gentoo Weekly Newsletter: October 6, 2003

1.  Gentoo News

Zusammenfassungen

• Gentoo Linux Performance Daten

Gentoo Linux Performance Daten

Am 23. September hat Jose Alberto Suarez Lopez ein Referat bei der HispaLinux 2003 gehalten, wo er die Ladezeit Performance des offiziellen Gentoo Linux 1.4 Release demonstriert hat. Gentoo Linux 1.4 fÃŒr Pentium III, mit und ohne prelink, wurden mit einer standardmÀßigen Mandrake 9.1 Installation verglichen. Das Ergebnis: Gentoo Linux 1.4 mit prelink war durchgÀngig besser als Mandrake 9.1, und sogar ohne prelinking lud Mozilla in Gentoo nahezu doppelt so schnell und NetBeans mehr als zwei mal so schnell.

Die Schlussfolgerung, die wir daraus ziehen könnnen ist, dass die standardmÀßigen Optimierungen von Gentoo Linux fÃŒr Pentium III einen signifikanten Unterschied bei einer realen Anwendungs Ladezeit ergeben. Auch sieht es so aus, als wenn prelinking die Ladezeit von KDE Anwendungen deutlich verbessern kann. Gentoo Linux ist in der Lage generell eine bessere Performance als andere Distributionen zu bieten, da wir versuchen, unseren Benutzern die aktuellsten und besten freien Software Technologien, wie die aktuellsten 'Compiler Toolchains', anzubieten. Auch bieten wir fÃŒr Benutzer, die ihr Gentoo nicht 'from scratch' bauen wollen vorkompilierte, auf die jeweilige CPU angepasste Pakete an. FÃŒr weitere Informationen lesen Sie den Rest der Ergebnisse. Um eine eigene angepasste Version von Gentoo zu erhalten besuchen Sie den Gentoo Store.

2.  Gentoo Security

Summary

• GLSA: teapop
• GLSA: mpg123
• GLSA: net-ftp/proftpd
• GLSA: media-video/mplayer
• GLSA: openssl

GLSA: teapop

Beschreibung:

Durch einen Fehler im Authentifizierungsmodul ermöglicht teapop eine sog. "sql injection" (bei PostgreSQL und MySQL).

• Klassifizierung: hoch - "sql injection" aus der Ferne mögl.
• Betroffenes Paket: <teapop-0.3.7
• Lösung: emerge sync; emerge teapop; emerge clean
• GLSA Bekanntmachung

GLSA: mpg123

Beschreibung:

Ein Heap-Pufferüberlauf bei mpg123 ermöglicht es einem entfernten Angreifer, beliebigen Code auf der Maschine seines Opfers auszuführen.

• Klassifizierung: hoch - Pufferüberlauf.
• Betroffenes Paket: <mpg123-0.59r-r3
• Lösung: emerge sync; emerge mpg123; emerge clean
• GLSA Bekanntmachung

GLSA: net-ftp/proftpd

Zusammenfassung:

ISS X-Force hat eine Verwundbarkeit des proftp-Servers herausgefunden, die ausgenutzt werden kann, wenn eine speziell formatierte Datei auf den Server hochgeladen wird.

• Klassifizierung: hoch - Verwundbarkeit durch ASCII-Dateien (aus der Ferne ausnutzbar).
• Betroffenes Paket: <net-ftp/proftpd-1.2.9_rc2
• Lösung: emerge sync; emerge '>=net-ftp/proftpd-1.2.9_rc2'; emerge clean
• GLSA Bekanntmachung

GLSA: media-video/mplayer

Zusammenfassung:

Es wurde ein Pufferüberlauf im MPlayer gefunden, der das Programm auch für entfernte Angreifer verwundbar macht. Ein bösartiger Rechner könnte einen schädlichen ASX Header generieren und dadurch MPlayer dazu bewegen, beliebigen Programmcode auszuführen.

• Klassifizierung: hoch - Pufferüberlauf.
• Betroffenes Paket: <mplayer-0.91 =mplayer-1.0_pre1
• Lösung: emerge sync; emerge =media-video/mplayer-0.92; emerge clean
• GLSA Bekanntmachung

GLSA: openssl

Zitat aus der OpenSSL-Ankündigung:

"1. Bestimmte ASN.1 Verschlüsselungen, die als invalid zurückgewiesen werden, können einen Fehler in der Freigabe der entsprechenden Datenstruktur auslösen und so den Stack korrumpieren, was wiederum für eine sog. "Denial of Service" Attacke genutzt werden kann. Es ist allerdings unklar, ob sich damit auch fremder Code ausführen lässt. Die Version OpenSSL 0.9.6 ist von diesem Fehler nicht betroffen.

2. Unübliche Werte in ASN.1 Marken können unter gewissen Umständen ebenfalls für einen DoS-Angriff genutzt werden.

3. Ein speziell formatierter öffentlicher Schlüssel in einem Zertifikat kann den Algorithmus zur Verifikation zum Absturz bringen, sofern dieser so eingestellt ist, daß er Fehler in öffentlichen Schlüssel ignoriert (was normalerweise auch nur unter Debugging-Bedingungen der Fall sein sollte). Auch dieser Fehler kann für eine DoS-Attacke genutzt werden.

4. Durch einen Fehler in der Verarbeitung des SSL/TLS-Protokolls analysiert der Server das Zertifikat des Clients selbst dann, wenn er es gar nicht müsste. Das an sich ist noch keine Verwundbarkeit, allerdings bedeutet dies, daß *sämtliche* SSL/TLS-Server die OpenSSL verwenden durch die 3 oben beschriebenen Fehler anfällig sind, selbst wenn sie die Authentifizierung gegenüber dem Client gar nicht aktiviert haben."

• Klassifizierung: mittel - entfernter Angriff mögl.
• Betroffenes Paket: <openssl-0.9.6k
• Lösung: emerge sync; emerge openssl; emerge clean
• GLSA Bekanntmachung

Neue Sicherheitslöcher

Diese Woche wurden folgende Sicherheitslöcher registriert:

• Apache 2.0.47 & mod_cgi: denial of service

3.  Entwickler der Woche

Thomas Raschbacher

Abbildung 3.1: Thomas Raschbacher

Diese Woche stellen wir euch Thomas Raschbacher (LordVan) vor, der Kopf des Gentoo-Druck-Teams ist und häufig Verbesserungen und Ebuilds für Pyton und DVB beisteuert. Er ist auch beim deutschen Übersetzungsteam dabei, wobei er die Übersetzung unseres geliebten GWN koordiniert. In erster Linie arbeitet er an der Entwicklung von neuen Ebuilds und am Verbessern von alten Ebuilds. Zusätzlich zu seiner Arbeit bei Gentoo stellte er Übersetzungsarbeit für das Gnome-Projekt bereit und half beim Verbessern von Twisted, sowie bei einigen anderen kleineren Projekten. Er ist recht stolz auf einige seiner Web-Entwicklungen, die er mit Twisted fertigsgestellt hat und plant, diese unter Open Source bereitzustellen.

Thomas ist ein alter Hase in Sachen Linux, mit dem er 1996 mit Slackware begonnen hatte. Er wechselte zu Gentoo kurz nachdem von dem Projekt im August 2002 gehört hatte. Er wurde ein Entwickler im Dezember desselben Jahres, nachdem (wie er es sagt) "es mir zu lästig wurde, meine Ebuilds und Verbesserungen immer" Seemant Kulleen zu übermitteln. Thomas beschreibt Gentoo als "verdammt gute Distri, für die ich gern mehr tun würde".

Thomas lebt in Judenau-Baumgarten, Niederösterreich. Er hat sein Studium der Technischen Informatik an der Höheren Technischen Schule beendet, genauso wie seine Matura (Abitur). Er hat sich als Verkaufsberater von Computern selbstständig gemacht (Web-Design und Linux-Support mit inbegriffen). Er ist ein begeisterter Anhänger der fernöstlichen Kampfkünste. Momentan lernt er Ninjutsu (dazu auch noch Japanisch). Er liebt Star Trek, Anime und Mangas. In diese Richtung gehört auch sein Lieblingszitat vom Anime-Klassiker End of Evangelion (ein Gespräch zwischen den Charakteren Shinji und Rei): "Nun... wo ist mein Traum? Er ist die Fortsetzung der Realität. Wo ist... meine Realität? Sie ist am Ende meines Traumes.". Schließlich ist Thomas auch noch aktiv an der Organisation von LAN Parties beteiligt (an denen er natürlich auch selbst teilnimmt).

Thomas macht den größten Teil seiner Arbeit an einem Celeron-Server, einer Workstation zum Entwickeln und einem Produktions-Web-Server. Zusätzlich besitzt er noch einen Laptop, eine Zaurus Handheld und eine Ansammlung von Testrechnern- und servern. In erster Linie arbeitet er mit den Entwicklungstools python, sed und grep. Er kommuniziert mit mutt, MozillaFirebird, Xchat-2 und MozillaThunderbird. Er ist auch von gnotime begeistert, einem GNOME-Zeitplaner. Wie bei vielen von uns ist seine erste Aufgabe nach dem Aufwachen, die E-Mails abzurufen.

4.  Gehört in der Community

Heutiges PHP

In den Tagen als nur ein paar tausend Forennutzer existierten, schien es ein übermässiges Auslöser-Glück zu sein, wann immer Dreiergruppen oder sogar eine größere Anzahl von Nachrichten mit dem selben Inhalt im Forum erschienen. In diesen Tagen allerdings ist der Grund für sich wiederholende Postings (umgangssprachlich: Postorrhea) die Trägheit nicht-bevorstehender Antworten von der Datenbank wann immer jemand den Abschickknopf unter schwierigen Verkehrsbedingungen gedrückt hat, und ja, multiple Postings können selbst dann vorkommen, wenn der Abschickknopf nur einmal gedrückt wurde. Während die Moderatoren des deutschen Forums, um die Belastung ein wenig zu vermindern, angefangen haben die Leute zu fragen ihnen unnütze, doppelte, sehr alte und unbeantwortete Threads zu nennen, die gelöscht werden können ohne das sie jemand vermissen würde, haben die schwer tragbaren Geschwindigkeitsprobleme den Site-Admin klieber dazu veranlasst eine öffentliche Diskussion über mögliche Alternativen zu der aktuellen Forumssoftware phpBB anzuschmeissen und um Meinungen zu kommerziellen Paketen als potenziellen Ersatz gebeten:

• Migrating to a commercial PHP-based forums package (in Englisch)
• Ablösung von phpBB? Boardprobleme und Co. (in Deutsch)

Portage im Web

Weil stable.gentoo.org für eine Weile zurückgestellt wurde und diePaket-Datenbank auf der Gentoo Hauptseite etwas wortkarg ist, wenn es um Kommentare und Statusbeschreibungen zu den Paketen geht, hatte thrasher6670 die Idee eine semi-automatische, augenblicklich interaktive Seite zu erstellen, die den Inhalt des Portagebaums überwacht und die Möglichkeit anbietet, dass Nutzer ihren Eindruck zu jedem einzelnen Paket hinterlassen können. Wie trasher6670 in dem von ihm gestarteten Thread (und ebenfalls auf der Website) sagte, könnte er noch etwas Hilfe beim Web-Design gebrauchen...

• Portage website (Der Thread)
• Portage website (Die Website)

Nicht-Englischer GWN Via Mail

Ja, es ist möglich, sogar ohne extra Mailinglisten für die einzelnen Sprachen. Dank an Ginko für sein nettes, kleines Perl-Script welches automatisch für den Download, die Konvertierung und die Verschickung frischer GWN-Kopien sorgt sobald sie auf der Gentoo Webseite erscheinen:

• GWN automagically sent to your Mailbox

gentoo-user

Benchmarken/Tweaken deiner Grafikkarte

Möchtest du das letzte an FPS aus deiner ATI/Nvidia Grafikkarte herausholen? Möglicherweise möchtest du diesen interessanten Thread bezüglich des Testen und Konfigurieren des AGPGART ansehen.

Leichtgewichtige Dateimanager für Gentoo

Viele Nutzer fühlen sich durch Gentoo angezogen, weil es eine leichtgewichtige, "nur was du wirklich willst"-Lösung für ihre Bedürfnisse anbietet. Ebenso erfreuen sich einige Nutzer an der selben Art von Desktop. Schau mal in diesen Thread für einige Empfehlungen dazu.

gentoo-dev

Die große Gentoo-Wanzen-Jagd!

Halte dich nicht mit dem Suchen nach Ostereiern bei Ostern auf, fang an nach einigen Wanzen in Gentoo zu suchen und gewinne kostenlose Hardware! Interessiert daran ein Meisterdetektiv für Gentoo zu werden? Dann lies hier um die Regeln zu kennen und starte das Zerdrücken!

5.  Gentoo International

Deutschland: Erinnerung für die Events dieser Woche

Die Gentooists aus Frankfurt haben ihr Treffen vor dem GWN abgehalten: Es wurde angekündigt, abgehalten und war vorüber, ehe wir in den Foren Thread schauen konnten. Dennoch: Die anstrengendste Deutsche Gentoo Woche steht in den Startlöchern, wir wollen euch kurz an die Termine erinnern:

• 8. Oktober: Gentoo-User-Treffen Ruhrgebiet im Centrum Oberhausen (präzise Beschreibung des Orts im Thread)

• 9. Oktober: Köln/Bonn Gentoo-User-Treffen im Netzladen in Bonn

• 11. Oktober: Practical Linux Dag in Gießen (mit einem Gentoo Stand und einem Vortrag über Gentoo Linux)

6.  Gentoo International

Deutschland: Erinnerung für die Veranstaltungen dieser Woche

Die Gentoo-Jünger aus Frankfurt hielten ihr Treffen ab, ohne daß der letzte GWN etwas davon gewußt hätte: Es wurde angekündigt, es fand statt und es war wieder vorbei ... das alles, bevor wir den betreffenden Forumseintrag gesehen haben. Dennoch beginnt nun die geschäftigste Woche für alle Gentoo-Begeisterten aus Deutschland, weshalb wir an einige Veranstaltungen erinnern wollen:

• 8 Oktober: Ruhrgebiet Gentoo User Meeting in Oberhausen(inkl. Anfahrtsplan)

• 9 Oktober: Köln/Bonn Gentoo User Meeting in Bonn

• 11 Oktober: Practical Linux Day in Gießen(inkl. einem Gentoo-Messestand und Vorführung)

7.  Portage Watch

Portage Watch fällt diese Woche aus.

8.  Bugzilla

Zusammenfassung

• Statistik
• Rangliste geschlossene Bugs
• Rangliste neue Bugs

Statistik

Die Gentoo Community verwendet Bugzilla (bugs.gentoo.org) um Bugs, Meldungen, Vorschläge und andere Kommunikationen mit dem Entwicklerteam zu protokollieren. Die Aktivitäten zwischen 26. September 2003 und 02. Oktober 2003 resultierten in:

• 496 neuen Bugs
• 464 geschlossenen oder 'gelösten' Bugs
• 13 wieder geöffneten Bugs

Von den 4140 zur Zeit offenen Bugs sind: 92 als 'blocker', 196 als 'critical', und 335 als 'major' markiert.

Rangliste geschlossene Bugss

Die Entwickler und Entwicklerteams welche die meisten Bugs geschlossen haben sind:

• George Shapovalov, mit 37 geschlossenen Bugs
• Gentoo Linux Gnome Desktop Team, mit 26 geschlossenen Bugs
• PHP Bugs Team, mit 22 geschlossenen Bugs
• Gentoo Games, mit 20 geschlossenen Bugs
• Gentoo Sound Team, mit 14 geschlossenen Bugs

Rangliste neue Bugs

Die Entwickler und Entwicklerteams welche diese Woche die meisten neuen Bugs zugewiesen bekommen haben sind:

• Portage team, mit 25 neuen Bugs
• Martin Schlemmer, mit 13 neuen Bugs
• Gentoo Linux Gnome Desktop Team, mit 11 neuen Bugs
• x86 Kernel Team, mit 10 neuen Bugs
• Gentoo Sound Team, mit 9 neuen Bugs

9.  Tipps und Tricks

Eine Einführung in sudo

Der dieswöchige Tipp demonstriert einige gebräuchliche Anwendungen con sudo, die es normalen Benutzern erlaubt, Befehle mit erweiterten Privilegien aufzurufen. Diese Wochen benutzen wir sudo, um uns Log-Files anzusehen und grundlegende Benutzerverwaltung zu handhaben.

% emerge app-admin/sudo
  

Zuerst muss /etc/sudoers gesetzt werden, der alle Privilegien kontrolliert, die von sudo gehandhabt werden. Diese Datei sollte nie direkt geänder werden, sondern nur mit dem visudo-Befehl. Um eine komplette Liste aller Konfigurationsoptionen zu erhalten, schaut die sudoers Man Page (man 5 sudoers).

Diese Datei ist nur ein Beispiel und demonstriert, wie man Befehls- und Benutzeraliases vergibt.

# sudoers file.
#
# This file MUST be edited with the 'visudo' command as root.
#
# See the sudoers man page for the details on how to write a sudoers file.
#

# User alias specification
User_Alias      HELPDESK  = jfox, helpdesk
User_Alias      SYSADMINS = david, jc

# Cmnd alias specification
# Create aliases for all commands used in viewing files
Cmnd_Alias      VIEW = /bin/cat, /bin/grep, /bin/more, /usr/bin/head, \
                       /usr/bin/tail, /usr/bin/less 

# commands for user administration
Cmnd_Alias  USERADMIN = /usr/sbin/useradd, /usr/sbin/userdel, \
                        /usr/sbin/usermod

# User privilege specification
# Allow SYSADMINS to run any command as any user
SYSADMINS   ALL = ALL

# Allow  users in HELPDESK to use the user administration commands and
# to use the VIEW commands without a password
HELPDESK    ALL = USERADMIN, NOPASSWD:VIEW

# Allow users in the %users group to use the VIEW commands
%users      ALL = VIEW
  

Nun da /etc/sudoers erstellt wurde, kann man Befehle mit sudo Befehl absetzen.

(Viewing /var/log/critical/current as the helpdesk user)
helpdesk@mybox% sudo tail /var/log/critical/current

(Adding a new user as the user jfox)
jfox@mybox% sudo useradd marcus
Password: password for jfox
  

Dies war natürlich nur ein kurzer Abriss, sollte euch aber einige der vielen Möglichkeiten von sudo demonstrieren. Für weitere Beispiele und Optionen schaut die Man Pages oder folgende Web-Seite http://www.courtesan.com/sudo/.

10.  Abgänge, Zugänge und Veränderungen

Abgänge

Die folgenden Entwickler haben kürzlich das Gentoo Team verlassen:

• keine diese Woche

Zugänge

Die folgenden Entwickler haben sich kürzlich dem Gentoo Team angeschlossen:

• Brad House (brad_mssw) -- amd64
• Joel Hillster (hillster) -- miscellanious ebuilds
• Rob Cakebread (pythonhead) -- python

Veränderungen

Die folgenden Entwickler haben innerhalb des Gentoo Projektes kürzlich ihre Rolle verändert oder neue Verantwortlichkeiten angenommen:

• keine diese Woche

11.  Zum GWN beitragen

Bist Du daran interessiert, etwas zum Wöchentlichen Gentoo Newsletter beizutragen? Schicke uns eine eMail

12.  GWN Feedback

Bitte schicke uns Dein Feedback und hilf' damit, den GWN besser zu machen.

13.  Die GWN Mailing List abonnieren

Bevorzugst Du es, den GWN per eMail zu erhalten? Abonniere ihn, indem Du eine leere eMail an gentoo-gwn-subscribe@gentoo.org schickst.

Um den GWN wieder abzubestellen schicke eine leere eMail an gentoo-gwn-unsubscribe@gentoo.org von der Adresse, auf die Du den Newsletter nicht mehr erhalten willst.

14.  Andere Sprachen

Der GWN ist ausserdem verfügbar in den folgenden Sprachen:

• Deutsch
• Englisch
• Französisch
• Holländisch
• Italienisch
• Japanisch
• Polnisch
• Portugiesisch (Brasilien)
• Portugiesisch (Portugal)
• Russisch
• Spanisch
• Türkisch